О клубнике, червяках и неуловимом Джо
Достаточно распространённое заблуждение состоит в том, что потенциальному компьютерному злоумышленнику защитники приписывают собственные мотивы.
Страдающий этим заблуждением работник ИБ, проводя оценку рисков, оценивает информацию с точки зрения её полезности для своего предприятия. Самую полезную считает нуждающейся в самой надёжной защите.
Разумеется, это не верно. Оценка рисков подразумевает оценку возможного ущерба, который воспоследует в случае утраты, искажения, разглашения, передачи конкуренту той или иной информации. Это совершенно иная характеристика, ортогональная полезности.
Но и в подходе со стороны "ущерба" тоже есть ошибка.
Самая толстая броня - не там, где самые ценные элементы, а там, куда чаще попадают. Риски рисками, но чтобы верно определить потребную толщину брони, надо определить ценность информации для потенциального злоумышленника. Не полезность её для нас. И не ущерб в случае нарушения защиты. А степень привлекательности информации для противника. Взять те же персональные данные. Если не защитим, придут строгие дяди из "регулятора" и сделают а-та-та. Риск, однако. Но будет ли злобный хакер проникать в нашу ИС, чтоб узнать фамилии наших клиентов? Дураков нет! Его интересуют в конечном счёте деньги. А за список фамилий (даже очень длинный, даже с адресами) разумных денег не получишь, и продать его будет сложно. А вот пароли от аськи - совсем другое дело. Такой товар на чёрном рынке за полчаса уходит.
Ну да, ничего нового ваш покорный слуга не открыл. Необходимость составления модели злоумышленника предусмотрена всеми учебниками и стандартами по ИБ. Проблема в том, что модели эти либо не описываются явным образом, либо не соответствуют действительности. В результате половина безопасников, 3/4 руководителей и подавляющее большинство журналистов воображают, что злобные хакеры охотятся за корпоративными секретами. Развенчаем мифчик, или пусть дальше верят?
Страдающий этим заблуждением работник ИБ, проводя оценку рисков, оценивает информацию с точки зрения её полезности для своего предприятия. Самую полезную считает нуждающейся в самой надёжной защите.
Разумеется, это не верно. Оценка рисков подразумевает оценку возможного ущерба, который воспоследует в случае утраты, искажения, разглашения, передачи конкуренту той или иной информации. Это совершенно иная характеристика, ортогональная полезности.
Но и в подходе со стороны "ущерба" тоже есть ошибка.
Самая толстая броня - не там, где самые ценные элементы, а там, куда чаще попадают. Риски рисками, но чтобы верно определить потребную толщину брони, надо определить ценность информации для потенциального злоумышленника. Не полезность её для нас. И не ущерб в случае нарушения защиты. А степень привлекательности информации для противника. Взять те же персональные данные. Если не защитим, придут строгие дяди из "регулятора" и сделают а-та-та. Риск, однако. Но будет ли злобный хакер проникать в нашу ИС, чтоб узнать фамилии наших клиентов? Дураков нет! Его интересуют в конечном счёте деньги. А за список фамилий (даже очень длинный, даже с адресами) разумных денег не получишь, и продать его будет сложно. А вот пароли от аськи - совсем другое дело. Такой товар на чёрном рынке за полчаса уходит.
Ну да, ничего нового ваш покорный слуга не открыл. Необходимость составления модели злоумышленника предусмотрена всеми учебниками и стандартами по ИБ. Проблема в том, что модели эти либо не описываются явным образом, либо не соответствуют действительности. В результате половина безопасников, 3/4 руководителей и подавляющее большинство журналистов воображают, что злобные хакеры охотятся за корпоративными секретами. Развенчаем мифчик, или пусть дальше верят?